Dossier Computerbeveiliging

Nieuws

Lekken

Privacy

Hackers

Pentagon

Virussen

Tips

Boeken

Films

Big Brother Inside

Amerikaanse Internet-aandelen staan torenhoog. Amerika gelooft in de elektronische handel. Maar hoe staat het met de bescherming van de privacy van consumenten? Volgens de VS gaat de Europese privacy-wetgeving veel te ver.

MARIE-JOSÉ KLAVER <klaver@nrc.nl>

De Verenigde Staten zijn bang dat de nieuwe Europese privacywetgeving de handel met de Europese Unie en de groei van electronic commerce in de weg zal staan. Als straks alle lidstaten van de Europese Unie de Richtlijn voor de bescherming van gegevens, ook wel privacyrichtlijn genoemd, in hun nationale wetgeving hebben verwerkt, zou er wel eens een einde kunnen komen aan het vrije verkeer van informatie tussen de Verenigde Staten en Europa, voorspelt de Amerikaanse staatssecretaris van Handel David Aaron.

De Europese privacyrichtlijn, die eind oktober vorig jaar in werking is getreden, is bedoeld om de privacy van burgers en consumenten te beschermen en verbiedt onder meer het doorsturen van persoonsgegevens naar bedrijven in landen die geen ,,adequate’’ privacybescherming hebben. (http://www.rulimburg.nl/~privacy/95-46-EG.htm) In Nederland wordt de richtlijn vertaald in de Wet bescherming persoonsgegevens, die momenteel ter behandeling ligt bij de Tweede Kamer.

Al voor de introductie gold de Europese privacyrichtlijn als omstreden in de Verenigde Staten, een van de landen die volgens de Europese Commissie geen adequate privacybescherming bieden. Amerikaanse politici en juristen zijn bang dat de richtlijn tot een elektronische handelsoorlog en een Europees data embargo zal leiden. Gegevens van inwoners van de Europese Unie in de databanken van bijvoorbeeld luchtvaartmaatschappijen, online winkels en Amerikaanse vestigingen van Europese bedrijven moeten gewist worden als niet nadrukkelijk toestemming wordt verleend voor het bewaren en verwerken. ,,Basisactiviteiten als boekhouding, financiële transacties en zelfs personeelszaken kunnen erg omslachtig worden, als ze al niet worden verboden’’, aldus Aaron.

Een goed voorbeeld van wat Amerikaanse bedrijven te wachten staat is het geval van American Airlines. De luchtvaartmaatschappij moet al sinds 1997 op grond van de Zweedse privacywet alle gegevens over Zweedse passagiers in haar Amerikaanse databank na elke vlucht wissen of alle reizigers om expliciete toestemming vragen de data te bewaren. Een rechtszaak tegen de Zweedse eis heeft American Airlines verloren.

Sinds ongeveer een jaar onderhandelt Aaron voor de Amerikaanse overheid met de Europese Commissie over een gelijkstelling van het Amerikaanse privacybeleid, dat bestaat uit een ingewikkeld stelsel van honderden wetten en regelingen, met de voorwaarden in de richtlijn. Om tegemoet te komen aan de Europese Unie heeft Aaron voorgesteld om een zorgvuldigere privacyregulatie te bewerkstelligen in het Amerikaanse bedrijfsleven. Op basis van vrijwilligheid kunnen bedrijven zich aansluiten bij een zogeheten safe harbor, een veilige haven voor persoonsgegevens. De federale handelscommissie zal toezichthouden op de naleving van de privacybepalingen en bemiddelen bij conflicten tussen consumenten en bedrijven. (http://www.epic.org/privacy/intl/doc-safeharbor-1198.html)

Om het Europese bedrijfsleven ervan te overtuigen dat de privacyrichtlijn op korte termijn nadelige gevolgen zal hebben voor de handel tussen de VS en de EU bezoekt Aaron deze week 6 landen, waaronder Nederland, België, Frankrijk en Duitsland. Gisteren was hij op uitnodiging van de werkgeversorganisatie VNO-NCW en IBM te gast in Amsterdam.

In voorzichtige bewoordingen het woord handelsoorlog of data embargo zal hij niet uitspreken legt Aaron uit wat er op het spel staat. Europa investeert jaarlijks 145 miljard dollar in de Verenigde Staten. Daarnaast kopen Amerikanen jaarlijks voor 900 miljard dollar aan Europese producten. De Wereld Handelsorganisatie (WTO) heeft voorspeld dat de elektronische handel over een paar jaar 300 miljard dollar zal bedragen. Volgens onderzoeksbureau Forrester Research zal de elektronische handel, inclusief investeringen in de infrastructuur, beveiliging en business-to-business deals, zelfs 1,3 triljoen dollar bedragen in 2003. ,,Informatie is de sleutel tot de realisatie van de grote mogelijkheden van electronic commerce.’’ Als er een einde komt aan de vrije uitwisseling van persoonsgegevens betekent dat volgens Aaron een grote strop voor beide economieën.

De onderhandelingen met de Europese Commissie verlopen moeizaam, vertelt Aaron, die vorig jaar tot grote tevredenheid van de Amerikaanse regering de 33 lidstaten van het Arrangement van Wassenaar ervan wist te overtuigen voor een aanzienlijke beperking op de export van encryptieprogramma’s en versleutelingshardware te stemmen. (http://www.nrc.nl/W2/Nieuws/1998/12/12/Med/01.html) Eigenlijk had hij afgelopen zomer, voor de introductie van de privacyrichtlijn, al tot overeenstemming willen komen, nu is hij blij als de problemen aan het eind van de komende zomer zijn opgelost. ,,Een deel van het probleem is dat nog maar een paar EU-landen de privacyrichtlijn in wet- en regelgeving hebben vertaald. Beide partijen worstelen met nieuwe thema’s. Hoe gaan we bijvoorbeeld om met nieuwe persoonsgegevens als ‘click stream data’, het informatiespoor dat al klikkende met de muis ontstaat? Of met ‘cookies’, gegevens die gegenereerd worden door het contact van een computergebruiker met een website?’’

Een ander punt van verschil is de toegang van consumenten tot hun persoonsgegevens in databanken van bedrijven. Volgens de privacyrichtlijn moeten inwoners van de Europese Unie te allen tijde toegang tot al hun gegevens hebben om deze in te zien, te wijzigen of te verwijderen. Dat gaat de Verenigde Staten te ver. Om de kosten voor het bedrijfsleven te beperken, pleit Aaron voor ‘redelijke’ toegang in plaats van een absoluut recht tot toegang. ,,Toegang moet verleend worden in het geval dat de informatie van persoonlijk of financieel belang is.’’ Als een informatieverzoek ‘triviaal’ is en het een bedrijf te veel kost mag het worden afgewezen. ,,Als iemand wil weten wat als haar lievelingskleur is geregistreerd, kun je niet van een bedrijf verlangen dat ze hun database voor 10 miljoen laten veranderen als je toevallig niet op naam kunt zoeken.’’

De Amerikaanse regering neemt met haar afwijzing van de Europese privacyrichtlijn steeds meer een uitzonderingspositie in. Canada, Australië en Nieuw-Zeeland hebben verklaard de privacybepalingen van de Europese Unie over te nemen. Ook China is bezig met privacywetgeving die overeenkomt met de Europese eisen. In de Verenigde Staten is langzaam een beweging van bezorgde consumenten en Internetgebruikers op gang aan het komen die pleit voor een nationale wet die privacy als recht garandeert.

In de Verenigde Staten is langzaam maar zeker een brede beweging van bezorgde consumenten, Internetgebruikers en privacydeskundigen op gang aan het komen die pleit voor een nationale wet die privacy als recht garandeert. “In my opinion, it is not the privacy laws in Europe that raise concern; it is the absence of privacy laws in the United States that created the difficult situation we face today. Because privacy safeguards in the United States have not kept up to date, both European governments and American citizens are rightly concerned about the adequacy of privacy protection in this country”, verklaarde Marc Rotenberg, directeur van het Electronic Privacy Information Center (EPIC), vorig jaar voor de Committee on International Relations van het Huis van Afgevaardigden tijdens een bijeenkomst over de Europese privacyrichtlijn. (http://www.epic.org/privacy/intl/rotenberg-eu-testimony-598.html)

Amerikaanse privacy- en Internetorganisaties boekten deze week een klein succes in de strijd om de bescherming van persoonlijke gegevens. ‘s Werelds grootste chipfabrikant Intel wilde een nieuwe chip (Pentium III) op de markt brengen met een vast identiteitsnummer zodat online winkels en websitehouders altijd precies zouden weten met wie ze te maken hebben. Drie privacyorganisaties, EPIC, Privacy International en JunkBusters, riepen eergisteren op tot een boycot van Intel. Wereldwijd regende het, onder het motto ‘Big Brother Inside’, protesten van Internetgebruikers en homo-organisaties die hun privacy bedreigd zagen. (http://www.privacy.org/bigbrotherinside) Intel maakte gisteren bekend dat de volgende generatie chips zal worden voorzien van een privacybeschermende optie. In de oorspronkelijke plannen van Intel zou het nummer altijd zichtbaar zijn.

EPIC, Privacy International en JunkBusters vinden de verklaring van Intel dat het identiteitsnummer softwarematig uitgeschakeld kan worden niet genoeg. Op de boycot-site zetten ze uiteen waarom niet. Ten eerste is het programma er nog niet. Ten tweede zijn Internet- en computergebruikers afhankelijk van derden die de software moeten installeren. Zoals het er nu uitziet komt er alleen een Windowsversie. Of het programma goed werkt onder Microsoft Windows is onbekend. Bovendien verwachten de privacy-organisaties dat gebruikers in veel gevallen verplicht zullen worden om de software uit te schakelen omdat websites en nieuwe software om een chip-identificatie vragen. "We're very happy and actually rather surprised by the amount of enthusiasm we've gotten from application developers for the processor serial number capability. We have some 30-plus applications today that have committed to take advantage of this. And that number is rising very rapidly", heeft de vice-president van Intel verklaard.

Softwarematige privacybescherming is bovendien onveilig, volgens EPIC, Privacy International en JunkBusters. Er kan, bijvoorbeeld via kwaadaardige Java-applets, met het programma geknoeid worden. Ook andere software kan het programma ongemerkt uitschakelen.

De privacy-organisaties pleiten voor een hardware-oplossing. “A hardware solution is the only permanent option.” De Amerikaanse staat Arizona gaat nog verder en wil chips met een persoonlijk serienummer nu wettelijk verbieden. Volgende week zal een wetgevend orgaan met een wet komen die de verkoop en productie van de Pentium III chip van Intel in Arizona, waar Intel twee fabrieken heeft, verbiedt omdat de processor de privacy bedreigt.

Zie ook:
Monsteroffensief Intel voor promotie Pentium III-chip
(27 febr. 1999)